Overblik: Er det slut med det ‘hemmelige’ cpr-nummer?

July 3, 2014 by admin · Leave a comment

Debatten har raset i årevis blandt eksperter og lægfolk med forstand på privacy og it-sikkerhed: Er cpr-nummeret en hemmelig oplysning? Og er cpr-nummeret tilstrækkeligt til at bekræfte, at en person er den, han giver sig ud for at være?

Nu er cpr-nummerets særstatus for alvor kommet under pres: CPR-Kontoret kom til at lægge en udgave af listen over danskere, der nyder beskyttelse mod telemarketing, ud på en server, hvorfra alle, der kendte kodeordet, havde adgang til at hente den. Listen skulle ikke indeholde cpr-numre, men en fejl hos it-leverandøren CSC betød, at der alligevel var plottet cpr-numre for alle 900.000 ind på listen.

Læs også: 900.000 danske CPR-numre lagt til frit skue – downloadet 18 gange

Læs også: CPR-kontoret om læk af 900.000 cpr-numre: Fejlen skete hos CSC

Der har været en række tidligere tilfælde, hvor kommuner eller andre myndigheder er kommet til at offentliggøre dokumenter, der indeholdt cpr-numre.

Læs også: Kommune lækkede 1.600 cpr-numre i ti måneder

Sagerne har ført til kritik af, at cpr-nummeret nyder en særlig beskyttelse i persondataloven, hvor det fremgår, at det er ulovligt at offentliggøre cpr-numre.

Læs også: Datatilsynet: CPR-nummeret er ikke en følsom personoplysning, men du må alligevel ikke offentliggøre andres

Læs også: Vestager: »Personnummeret er en fortrolig oplysning, men vi skal hverken betragte det som et password eller en pinkode«

I mange år har det været muligt at misbruge kendskabet til en persons navn, adresse og cpr-nummer til visse former for identitetstyveri. De seneste sager har imidlertid betydet, at der er blevet sat en stopper for de fleste typer misbrug.

Tidligere var et cpr-nummer i visse tilfælde tilstrækkeligt til at oprette kviklån eller tegne mobilabonnementer. Derfor var det problematisk, at det var forholdsvis enkelt at gætte sig frem til en persons cpr-nummer, hvis blot man kendte fødselsdatoen.

I princippet ville det ikke være noget problem, at andre kan gætte dit cpr-nummer, hvis det altså ikke var fordi, det i visse tilfælde behandles som en oplysning, kun du kender. Reelt burde der ifølge it-sikkerhedseksperter blot være tale om et unikt nummer, der kan bruges til at identificere – og ikke til at autentificere.

Autentificering er eksempelvis login med et kodeord eller en pinkode, som kun du kender. Identifikation kan spænde fra at trække et nummer i køen på posthuset til ja, eksempelvis et cpr-nummer.

Problemet ved at lade cpr-nummeret flyde mellem disse to begreber er, at forudsætningen for at bruge det til autentifikation er, at kun du kender det. Derfor dur det ikke, at det er nemt at finde frem til et cpr-nummer.

Det forsøgte datalogistuderende Søren Louv-Jansen at sætte fokus på med en hjemmeside, hvor man kunne spille ‘bingo’ med kendte politikeres cpr-numre, som var fundet ved at udnytte de websider, teleselskaberne stillede til rådighed for oprettelse af abonnementer.

Læs også: CPR-Søren: Vestager løser slet ikke problemet

Læs også: Prisen for at afsløre brist i personnumre: CPR-Søren får bøde på 10.000 kroner

Striden om cpr-nummerets status har haft to lejre, hvor det ene yderpunkt har krævet strengere straffe for at offentliggøre personnummeret og bedre beskyttelse af personer, som udsættes for identitetstyveri. Det andet yderpunkt har opfordret til at offentliggøre alle danskeres cpr-numre og én gang for alle fratage det dets særstatus, som har ført til, at det er blevet brugt til både identifikation og autentifikation.

Læs også: Forbrugerrådet: CPR-systemet skal laves om – men hvordan?

Udfordringen er blevet større i takt med øget digitalisering, som betyder, at der er flere steder, hvor cpr-numrene kan blive lækket fra. Som regel har der været tale om menneskelige fejl, og det gør det vanskeligt at sikre sig mod dem. Det er ét af argumenterne for, at cpr-numrene ikke bør være hemmelige.

Læs også: Antallet af CPR-læk syvdoblet på fem år

Digitaliseringen er på den anden side også nået så langt, at det nu i princippet er muligt at benytte eksempelvis NemID, når en borger skal autentificeres – til mange formål i hvert fald, for NemID’s opbygning har også sine kritikere blandt privacy-eksperterne. Men det er en anden diskussion.

Læs også: Vestager: Drop CPR – brug NemID til at verificere danskerne på nettet

Og så alligevel ikke, for brugen af cpr-nummeret som standardbrugernavn med NemID er blot ét eksempel på, at cpr-nummeret – trods dets særstatus som en beskyttet oplysning – alligevel bliver indsamlet af mange systemer, som bruger det til at slå adresser op eller blot som et bekvemmeligt unikt brugernummer.

Læs også: Skal du med bussen? CPR-nummer, tak

Nu er selve det kontor, som administrerer cpr-numrene, kommet til at offentliggøre hele 900.000 danskeres cpr-nummer. Vel at mærke danskere, der havde bedt om at få lov til at være i fred for telemarketing og adresserede reklamer.

Læs også: Robinsonlisten nærmest ikke beskyttet: Samme lette password for alle – i fem år

Det er selvfølgelig ikke carte blanche til at offentliggøre samtlige cpr-numre, men det er i hvert fald en hændelse, der sætter en tyk streg under, at vi er nødt til at tage diskussionen om, hvorvidt cpr-numrene blot er en bekvem størrelse, der hjælper os med at skelne Lars Larsen fra Lars Larsen, eller om det er noget, der er personligt og hemmeligt.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>